Debian DSA-3315-1：chromium ブラウザ - セキュリティ更新

critical Nessus プラグイン ID 84992

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

chromium Web ブラウザに、いくつかの脆弱性が発見されました。

- CVE-2015-1266 意図されるアクセス制限が、chrome://gpu などの特定の URL でバイパスされる可能性があります。

- CVE-2015-1267 同一生成元ポリシーをバイパスする方法が発見されました。

- CVE-2015-1268 Mariusz Mlynski 氏が、同一生成元ポリシーをバイパスする方法も発見しました。

- CVE-2015-1269 Mike Rudy 氏は、HTTP Strict Transport Policy 機能と HTTP Public Key Pinning 機能でホスト名が適切に比較されておらず、それらのアクセス制限がバイパスされる可能性があることを発見しました。

- CVE-2015-1270 Atte Kettunen 氏は、ICU ライブラリでの初期化されていないメモリ読み取りを発見しました。

- CVE-2015-1271 cloudfuzzer 氏は、pdfium ライブラリでバッファオーバーフローを発見しました。

- CVE-2015-1272 Chamal de Silva 氏は、GPU プロセス実装で競合状態を発見しました。

- CVE-2015-1273 makosoft は、chromium に組み込まれている pdfium ライブラリに使用される、openjpeg のバッファオーバーフローを発見しました。

- CVE-2015-1274 andrewm.bpi は、特定のファイルタイプがダウンロード直後に実行されるようにする自動オープンリストを発見しました。

- CVE-2015-1276 Colin Payne 氏は、IndexedDB の実装で use-after-free の問題を発見しました。

- CVE-2015-1277 SkyLined 氏は、chromium のアクセスビリティ実装で use-after-free の問題を発見しました。

- CVE-2015-1278 Chamal de Silva 氏は、PDF ドキュメントを使用して URL を偽装する方法を発見しました。

- CVE-2015-1279 mlafon は、pdfium ライブラリでバッファオーバーフローを発見しました。

- CVE-2015-1280 cloudfuzzer は、SKIA ライブラリのメモリ破損問題を発見しました。

- CVE-2015-1281 Masato Knugawa 氏が、Content Security Policy をバイパスする方法を発見しました。

- CVE-2015-1282 Chamal de Silva 氏が、pdfium ライブラリで複数の use-after-free の問題を発見しました。

- CVE-2015-1283 Huzaifa Sidhpurwala 氏は、expat ライブラリでバッファオーバーフローを発見しました。

- CVE-2015-1284 Atte Kettunen 氏は、ページフレームの最大数が正しくチェックされていないことを発見しました。

- CVE-2015-1285 gazheyes が、特定のクラスのクロスサイトスクリプティング問題を防止するために通常役立つものである、XSS オーディターの情報漏洩を発見しました。

- CVE-2015-1286 v8 JavaScript ライブラリのインターフェイスにクロスサイトスクリプティング問題が発見されました。

- CVE-2015-1287 filedescriptor が、同一生成元ポリシーをバイパスする方法を発見しました。

- CVE-2015-1288 Mike Ruddy 氏が、スペルチェック用辞書が今でも通常の HTTP でダウンロードできることを発見しました（CVE-2015-1263 に関連）。

- CVE-2015-1289 chrome 44 開発チームが、内部監査時にさまざまな問題を発見および修正しました。

上記の問題に加えて、Google は、このバージョンでデフォルトでホットワード拡張を無効にしています。有効にした場合は、ユーザーの介入なしにファイルがダウンロードされます。